网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络安全预防措施

网络学堂二十三:防火墙技术及设计(2)

  在黑客攻击方面,包过滤式防火墙,在今天的黑客技术下,显得不堪一击。攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,”信息包冲击“是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了(FakeIP),取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙,黑客便可以用这个IP地十来伪装他们发出的信息。另外,黑客们还可使用一种他们自己编制的路由器攻击程序,这种程序使用路由器协议来发送伪造的路由信息,这样所有的包都会被重新路由到一个入侵者所指定的特别地址。

  对付包包防火墙另一种方法就是通常所说的”网络炸弹“,或者说”拒绝服务“(DoS)。攻击者向被攻击的计算机发出许许多多个虚假的”同步请求“信号包,当服务器响应了这种信号包后,会等待请求发出者的回答,而攻击者不做任何的响应。当服务器在处理成知上万个虚假请求时,它便没有时间来处理正常的用户请求,处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。

  2、堡垒主机

  ”堡垒主机“通常情况下它是由一台计算机担当,它是防火墙的最初设计,随后随着防火墙技术的发展,并得到了继续发展。堡垒主机的作用就是对进出的数据包进行审核,为进入内部网络设的一个检查点,以达到把整个内部网络的安全问题集中在某个主机上解决的目的。从堡垒主机的定义可以看到,堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机必须是自身保护最完善的主机。多数情况下,一个堡垒主机使用两块网卡,分别连接内、外部网络。堡垒主机经常配置网关服务。

  3、网络地址转换(NAT,Network Address Translate)

  当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法因特网IP地址有限,而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术,就需要在防火墙上配置一个合法IP地址集,当内部网络用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址,内部网络用户就可通过防火墙来访问外部网络。

4

  在防火墙上部署NAT的方式可以有以下几种:

  ●M-1:多个内部网地址转换到1个IP地址
  ●1-1:简单的一对一地址转换
  ●M-N:多个内部网地址转换到N个IP地址池

  通过这样的地址转换后,既缓解了少量的因特网IP地址和大量主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。如果防火墙使用了NAT技术,所有的内部地址将会被转换成防火墙WAN端口上合法的因特网IP地址,以达到隐藏了内部网络用户身份的目的。

  4、应用级网关(代理服务器)

  顾名思义,应用级网关工作在OSI七层参考模型的应用层,也有人把它称为”代理服务器“技术。它属于第五代防火墙技术,它最早是由于998年,由NAI公司推出的,并在其产品Gauntlet Firewall for NT中得以实现。它给代理类型的防火墙赋予了全新的意义。

(责任编辑:admin)